Для корректной работы OpenVPN на роутере, который будет выступать в роли Сервера должен быть внешний/внутренний статический IP-адрес. Его необходимо будет указывать на роутерах и других устройствах OpenVPN, которые будут работать в режиме Клиент.


Также, потребуется создать сертификаты CA, сервера и клиентов. Ознакомиться с примером создания сертификатов можно в статье - Создание сертификатов OpenVPN с помощью xca.


    Настройка OpenVPN сервера через Web-интерфейс


Переходим в меню "VPN - OpenVPN" (1,2), добавляем шаблон "Server configuration for a routed multi-client VPN" с любым названием (3,4)


Название должно содержать больше 3 символов


  • Параметр verb можно указать от 7 до 9 на время отладки туннеля, тогда журналирование будет расширенным и можно будет углубиться в журнал, если возникнет проблема при создании туннеля;

  • Параметр server - подсеть туннеля. Для примера возьмем сеть 10.0.0.0 255.255.255.0. Тогда сервер должен получить первый адрес (10.0.0.1) из этой сети, а клиенты - остальные свободные адреса из этой сети;

  • ca, cert, key - импортируем сертификат Центра сертификации, сертификат Сервера и ключ Сервера соответственно

  • Далее добавляем другие параметры:
    • port - 1194
    • dev_type - tun
    • proto - UDP (для клиента Mikrotik необходим протокол TCP)


Перейдем к расширенным настройкам (Switch to advanced configuration и добавим еще несколько параметров:


На вкладке "Service" можем добавить параметр log и указать путь, куда будет сохраняться журнал работы OpenVPN. Если параметр не добавлять, то журнал будет отображаться в logread;


На вкладке "Networking" можем добавить параметр route и ввести локальную подсеть клиента (если подключение точка-точка);


На вкладке "VPN" добавим параметр push и введем пользовательское правило для клиента - route 192.168.88.0 255.255.255.0 - маршрут до локальной сети OpenVPN-сервера;


На вкладке "Cryptography" потребуется указать путь до параметров Диффи-Хелмана;


Далее сохраняем настройки и запускаем экземпляр ovpn


Для входящих соединений нам потребуется создать правило в Firewall и разрешить входящие подключения на порт 1194/UDP

Переходим в меню "Сеть - Межсетевой экран - Правила для трафика" и добавляем новое правило: